Ya he averiguado lo que pasaba. El nombre del servidor windows no tenia el nombre correcto, es decir, el mismo nombre que figura en dns resolver del pfsense.
Gracias.

Gracias, voy a probar lo que me dices.

Imagino que es así, y al parecer sí funciona.

GRACIAS!!!, había llegado cerca pero no pensé que fuese tan simple.

0_1543363903794_65708b0d-33df-4171-9265-291816f375d1-imagen.png

Habrá que ver en la DOC de Squidguard

Aunque pareciera que cuando usas: ldapusersearch no puede ser combinada con otra condición aparte.

Leyendo me llamo la atencion el parámetro: ldapipsearch tendrías que evaluarlo. No se si pueden convivir en la misma declaración (es cuestión de que pruebes)
Seria algo asi:

ldapusersearch bla bla bla bbla bla (salto de linea)
ldapipsearch bla bla bla bla bla

http://www.squidguard.org/Doc/authentication.html

En lo personal, las ACL por IP las separo por la de autenticación. A la final, la ACL por IP en mis despliegues ha sido para agregar la red de servidores y uno que otro Cacique (Gerente)

Nada cambie de equipo y todo se solucionó. Muchas gracias

Gracias nuevamente por respuesta...
1.- Esta claro q mi red en 100% NO tendra acceso a redes sociales (Instagram, facebook, twitter, etc)

2.- De mis 50 PC, maximo 5 tendran acceso total a internet

3.- Dentro departamentos, tendre diferencias, es decir, algunas PC tendran acceso a bancos y paginas gubernamentales y otras solo a una de las 2 listas...otras son paginas de clientes (PEPSICOLA, COCACOLA, etc para descargar retensiones de impuestos...)

4.- YO deberia trabajar (Bloqueando y permitiendo) con listados de paginas...ya que algunos pueden ver y otros no...

5.- En algunas PC debo permitir solo HTTPS gmail...por razones de trabajar con google drive, pero son puerta abiertas q se dejan para usar gmail correo...pero sera algo puntual

Es muy basica la configuración

Bueno quiero dar gracias a todos los que me ayudaron a resolver mi problema ya tengo el pfsense conectado y listo para instalar paquetes y actualizarse.
alt text
Saludos y gracias a todos

segun la documentacion de carp debes tener como minimo 3 ip para poder hacer eso, ya que usa protocolo VRRP para el señalamiento de MASTER y BACKUP

Si, bueno la experiencia que tuve hace años. fue la siguiente.

Primero hice un balanceo tier 1 y 1 (eran 2 enlaces), El problema que la conexión https (bancos, email, sistemas externos etc) el usuario autenticaba sin problemas, pero al cabo de unos minutos el sistema lo sacaba pidiéndole autenticación (nunca fue que la conexión expiro) fue que en algún momento la petición cambiaba hacia el otro wan, por ende el sistema veia que desde esa IP no tenia login ni cookie de hacer autenticado el usuario.

Como solvente? tuve que crear una regla exclusiva para la conexión https con tier 1 y 2.

Por los momentos solo uso balanceo menos a lo que es https y una que otra cosa puntual. De plano, todo lo que es puerto 80 sin problemas.

Recuerda confgurar en cada regla del firewall en la Lan que se use el grupo de gateways donde estan ambas Wan.

@mikeltb

Después de todo este tiempo desde que abrí este mensaje he podido obsevar que subiendo la RAM no es del todo la solución. Mejora pero no te da todo el ancho de banda de los 600 Mb.

Indicaré los pasos a seguir para conseguirlos...

Lo primero indicar y muy importante es que mi pfsense esta montado como maquina virtual en un proxmox.
Después indicar que la controladora eth que tenía configurada era una Intel e1000. Pues bien, cambiando la controladora a VirtiO y reconfigurando de nuevo las interfaces, reconfigurar la conexión a Internet, volviendo a meter las credenciales de conexion pppoe y reasignando las Vlans a las interfaces de VoIP e IPTV, la conexión mejora notablemente hasta llegar a unos 620 Mb.
El problema que me encontré a continuación fue que el test de velocidad de subida se quedaba en apenas unos 30 Mbps.
Consultando en internet me encontré que este problema se soluciona activando la siguiente opción:
System - Advanced - Networking:
Habilitar opcion <<Disable hardware large receive offload>>
Fuente

Espero sirva de ayuda.

igual pienso que lo que te vas ahorrar son unas lineas.

En mi caso que estoy en Venezuela, me basta con:
com.ve
net.ve
org.ve
gob.ve
gov.ve
edu.ve

Y listo, con eso garantizo las entradas a todo lo que sea .ve a la final .ve lo administra Conatel (empresa del Estado que regula los dominios .ve), y esas son las opciones que ellos dan aquí en el país.

Saludos.

Hola

Podrías instalar otro computador con Linux y DNSMasq (También podría ser otro pfsense o un router con DD-WRT). Este equipo tendría que quedar conectado también a la WAN de respaldo con una segunda IP, en paralelo a tu PFSense.

Luego configuras DNSMasq para que use los DNS que usa tu PFSense en la WAN de respaldo pero le sobrescribes los dominios de Facebook y Youtube para que apunten a un servidor DNS falso.

Lo último sería usar la IP de este nuevo computador como servidor DNS de la WAN de respaldo en tu PFSense.

Ejemplo de configuración de dnsmasq.conf (127.0.4.1 es nuestra IP falsa):
listen-address=127.0.0.1
resolv-file=/etc/resolv.dnsmasq.conf
server=/youtube.com/127.0.4.1
server=/facebook.com/127.0.4.1

El archivo /etc/resolv.dnsmasq.conf tendría que contener tus DNS originales (Acá uso los de Google):
nameserver 8.8.8.8
nameserver 8.8.2.2

Creo que es lo más simple. Otras alternativas serían poner 2 servidores proxy con SquidGuard o crear sendas reglas en la WAN de respaldo bloqueando todas las IPs de Youtube y Facebook, esto último no es muy practico porque esas IPs van cambiando.

@ridley Hola, perdóname por mi español pero intentaré ayudarte
Mi idea es muy simple . Tienes qué dividir la red 192.168.25.0/24 en dos partes
192.68.25.0/25 (por ejemplo , dmz , direcciones ip desde 1 hasta 127) y 192.168.25.128/25 (la red 26.0, direcciones ip desde 129 hasta 254) . En este caso puedes utilizar el tunnel para ambas redes

@konstanti Incialmente tenia en "Network" como "LAN Subnet" que es donde pasaba el problema, luego cambie a "Network" y coloque mi "Red Lan" donde igual pasaba, hasta que cambie de versión de PfSense 2.3.5 -> PfSense 2.4.4 donde ahora funciona aparentemente todo, les adjunto las capturas de mi configuración:

PfSense-01:

0_1542154975161_Setting-1.PNG

Phase-1
0_1542154982657_Config-Phase1.png

Phase-2
0_1542155012987_Config-Phase2.png

Rules lan:
0_1542155137632_Rules-LAN.PNG

Rules IPsec:
0_1542155150221_Rules-IPsec.PNG

Estatus VPN IPsec:
0_1542155203689_Status-VPNIPsec.PNG

No justo ese ese el problema. Creo que no me exprese bien:
Lado A:
Firewall (192.168.1.1) 192.168.1.0/24

Equipo X (192.168.1.23)

Lado B:
Cliente VPN (ES OpenWRT - linux con acceso a consola)
Red: 192.168.8.0/24
Equipo Z (10.11.220.61)
Pero en el mismo switch (no es administrable ni nada) de la red esta conectado el equipo con la ip 10.11.220.61

EL problema:

La unica forma que equipo Z me responda o permita comunicacion con el es si la informacion viene de la ip 10.11.220.62

Pero como NO estan en la misma red fisicamente es mi gran problema.
Si estuvieran en la misma red, solo configuro un equipo con la IP .62 y el gateway la .61 t listo

Este equipo el .61 lo que me permite es acceder a otro host que es el 10.11.0.2 (PEro esto ya es otro tema, me interesa solo ver el .61 en este momento)